He visto que han llevado a prision a @paulcoyote por hacer publico una vulnerabilidad que permite aun atacante suplantar la identidad de otro usuario.

Por supuesto no me alegra el mal de nadie es más espero que pronto salga de prisión pero no voy a justificar su acción la cuál no fue ética y el hacking no funciona asi, no se trata de hacer quedar mal a otros se busca el bien para todos si se detecto ese error habria que reportarlo primero a los interesados en este caso el dinardap.

No hablo de memoria hablo porque asi actue yo.

El día 7 de marzo fue el lanzamiento de datoseguro.gob.ec revise el funcionamiento de la  plataforma la cuál resulta muy útil pero detecte la vulnerabilidad en ese momento envie este mail con fecha 15 de junio:



La respuesta que recibí fue la siguiente:



Realmente pensé que lo iban a tomar en serio o que iban a corregir lastimosamente viendo este problema me doy cuenta que no.

El hecho de conocer el error, no nos da la facultad de publicar el mismo, si todavía NO ESTA CORREGIDO.

Primero ética, talvez si el lo hubiera reportado ya no solo era una persona hubiéramos sido 2, 3, 10 personas, lo cuál hubiera generado la preocupación y la necesidad de generar un cambio.

Me parece muy de pelicula el hashtag de #LiberenaPaulCoyote pero al leer que lo inicio su hijo por la desesperación del problema de su padre lo respeto.

Debemos estar claros que existe el problema pero no se puede divulgarlo por llamar la atención existen buenas prácticas y las mismas siempre indican que ante todo esta la ética.

Porque doy detalles al respecto? Lo hago porque en este post ya se hizo publico por parte de @paulcoyote

http://quefarras.com/blog/2012/11/dato-seguro-es-inseguro/

http://www.ecualug.org/?q=20121126/blog/paulcoyote/wwwdatosegurogobec_no_es_seguro

Espero que con todos estos detalles quede claro como actuar si bien yo puedo conocer errores de bancos, instituciones de estado, ministerios, etc siempre habido un e-mail o reuniones de trabajo de mi parte para alertarlos y animarlos a corregirlos lógicamente esta forma de actuar me ha representado buenas oportunidades de trabajo para poder apoyar a corregir los mismos.

Uno decide ser: “Famoso o tristemente celebre” es nuestra decisión.

————————-

Que fallo??

Tener presentes reglas básicas de la seguridad de la información:

http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

Cual de estas fallo? fue la autenticación:
Autenticación o autentificación

Es la propiedad que me permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de indentidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso.

Soluciones:

Implementar un nuevo mecanismo para validar que el usuario es quien dice ser:

- Una verificación para la entrega de claves en la institución como sucede en el IESS

- Trabajar con la misma clave que genera el SRI la cuál es un trámite personal el momento de sacar el RUC

 

Pueden existir muchas otras opciones estas son solo sugerencias.

Hay que recordar que ningún sistema es 100% seguro y que el eslabón más débil siempre es el usuario.